portal を使用してアクティブ/アクティブな VPN ゲートウェイを構成する

  • [アーティクル]

この記事では、Resource Manager デプロイ モデルと Azure portal を使用して、高可用性のアクティブ/アクティブ VPN ゲートウェイを作成する方法について説明します。 PowerShell を使用してアクティブ/アクティブなゲートウェイを構成することもできます。

クロスプレミスと VNet 間接続で高可用性を実現するには、複数の VPN ゲートウェイをデプロイし、ネットワークと Azure 間に複数の並列接続を確立する必要があります。 接続オプションとトロポジの概要については、「高可用性のクロスプレミス接続および VNet 間接続」をご覧ください。

重要

アクティブ/アクティブ モードは、Basic または Standard 以外のすべての SKU で使用できます。 ゲートウェイ SKU、パフォーマンス、サポートされている機能に関する最新情報については、「ゲートウェイ SKU について」を参照してください。 この構成では、Standard SKU のパブリック IP アドレスが必要です。 Basic SKU のパブリック IP アドレスを使用することはできません。

この記事の手順では、VPN ゲートウェイをアクティブ/アクティブ モードで構成します。 アクティブ/アクティブおよびアクティブ/スタンバイ モードには、いくつかの違いがあります。 その他のプロパティは、非アクティブ/アクティブのゲートウェイと同じです。

  • アクティブ/アクティブ ゲートウェイには、2 つのゲートウェイ IP 構成と 2 つのパブリック IP アドレスがあります。
  • アクティブ/アクティブ ゲートウェイでは、アクティブ/アクティブ設定が有効になっています。
  • 仮想ネットワーク ゲートウェイの SKU では Basic または Standard は使用できません。

既に VPN ゲートウェイを使用している場合は、既存の VPN ゲートウェイをアクティブ/スタンバイ モードからアクティブ/アクティブ モードに、またはアクティブ/アクティブからアクティブ/スタンバイ モードに更新できます。

仮想ネットワークの作成

使用を望む仮想ネットワーク (VNet) がまだない場合、次の値を使用して VNet を作成します。

  • [リソース グループ] :TestRG1
  • [名前]: VNet1
  • [リージョン]: (米国) 米国東部
  • IPv4 アドレス空間: 10.1.0.0/16
  • サブネット名: FrontEnd
  • サブネット アドレス空間: 10.1.0.0/24

  1. Azure portal にサインインします。

  2. ポータル ページの上部にある [リソース、サービス、ドキュメントの検索 (G+/)] に「仮想ネットワーク」と入力します。 Marketplace の検索結果から [仮想ネットワーク] を選び、[仮想ネットワーク] ページを開きます。

  3. [仮想ネットワーク] ページの [作成] を選び、[仮想ネットワークの作成] ページを開きます。

  4. [基本] タブの [プロジェクトの詳細][インスタンスの詳細] に仮想ネットワークの設定を構成します。 入力した値が検証された場合は、緑色のチェック マークが表示されます。 この例に示されている値は、必要な設定に従って調整できます。

    [基本] タブを示すスクリーンショット。

    • サブスクリプション:一覧表示されているサブスクリプションが正しいことを確認します。 ドロップダウン ボックスを使ってサブスクリプションを変更できます。
    • リソース グループ: 既存のリソース グループを選ぶか、[新規作成] を選んで新しく作成します。 リソース グループの詳細については、「Azure Resource Manager の概要」を参照してください。
    • Name:仮想ネットワークの名前を入力します。
    • リージョン: 仮想ネットワークの場所を選びます。 この場所によって、この仮想ネットワークにデプロイするリソースが存在する場所が決まります。

  5. [次へ] または [セキュリティ] を選んで、[セキュリティ] タブに移動します。この演習では、このページのすべてのサービスについて既定値のままにします。

  6. [IP アドレス] を選んで、[IP アドレス] タブに移動します。[IP アドレス] タブで設定を構成します。

    • IPv4 アドレス空間: 既定では、アドレス空間が自動的に作成されます。 アドレス空間を選択して、独自の値が反映されるように調整できます。 別のアドレス空間を追加し、自動的に作成された既定値を削除することもできます。 たとえば、開始アドレスを 10.1.0.0 に指定し、アドレス空間のサイズを /16 に指定します。 次に [追加] を選んでそのアドレス空間を追加します。

    • + サブネットの追加: 既定のアドレス空間を使用すると、既定のサブネットが自動的に作成されます。 アドレス空間を変更する場合は、そのアドレス空間内に新しいサブネットを追加します。 [+ サブネットの追加] を選択して、 [サブネットの追加] ウィンドウを開きます。 次の設定を構成し、ページの下部にある [追加] を選んで値を追加します。

      • サブネット名: たとえば FrontEnd です。
      • [サブネットのアドレス範囲] : このサブネットのアドレス範囲です。 たとえば、10.1.0.0/24 です。

  7. [IP アドレス] ページを確認し、不要なアドレス空間またはサブネットを削除します。

  8. [確認と作成] を選択して、仮想ネットワークの設定を検証します。

  9. 設定が検証されたら、[作成] を選んで仮想ネットワークを作成します。

アクティブ/アクティブ VPN ゲートウェイを作成する

この手順では、VNet のアクティブ/アクティブな仮想ネットワーク ゲートウェイ (VPN ゲートウェイ) を作成します。 選択したゲートウェイ SKU によっては、ゲートウェイの作成に 45 分以上かかる場合も少なくありません。

次の値を使用して仮想ネットワーク ゲートウェイを作成します。

  • [名前]: VNet1GW
  • リージョン: 米国東部
  • [ゲートウェイの種類] : VPN
  • VPN の種類: ルート ベース
  • SKU: VpnGw2
  • 世代: Generation2
  • 仮想ネットワーク:VNet1
  • [ゲートウェイ サブネットのアドレス範囲] : 10.1.255.0/27
  • [パブリック IP アドレス] : 新規作成
  • パブリック IP アドレス名:VNet1GWpip

  1. [リソース、サービス、ドキュメントの検索 (G+/)] に「仮想ネットワーク ゲートウェイ」と入力します。 Marketplace の検索結果で [仮想ネットワーク ゲートウェイ] を見つけて選び、[仮想ネットワーク ゲートウェイの作成] ページを開きます。

  2. [基本] タブで、 [プロジェクトの詳細][インスタンスの詳細] の各値を入力します。

    [インスタンス] フィールドを示すスクリーンショット。

    • サブスクリプション: 使うサブスクリプションをドロップダウン リストから選びます。

    • リソース グループ: この設定は、このページで仮想ネットワークを選ぶと自動入力されます。

    • Name:ゲートウェイに名前を付けます。 ゲートウェイの名前付けは、ゲートウェイ サブネットの名前付けと同じではありません。 作成するゲートウェイ オブジェクトの名前です。

    • リージョン: このリソースを作成するリージョンを選択します。 ゲートウェイのリージョンは、仮想ネットワークと同じである必要があります。

    • ゲートウェイの種類: [VPN] を選択します。 VPN Gateway では、仮想ネットワーク ゲートウェイの種類として VPN を使用します。

    • SKU: 使う機能をサポートするゲートウェイ SKU をドロップダウン リストから選びます。 ゲートウェイ SKU を参照してください。 ポータルのドロップダウン リストで使用できる SKU は、選んだ VPN type によって変わります。 Basic SKU は、Azure CLI または PowerShell を使用してのみ構成できます。 Azure portal で Basic SKU を構成することはできません。

    • 世代: 使用する世代を選択します。 Generation2 SKU を使用することをお勧めします。 詳細については、「ゲートウェイの SKU」を参照してください。

    • 仮想ネットワーク: ドロップダウン リストから、このゲートウェイの追加先の仮想ネットワークを選びます。 ゲートウェイを作成する仮想ネットワークが表示されない場合は、前の設定で正しいサブスクリプションとリージョンを選んでいることを確認します。

    • ゲートウェイ サブネットのアドレス範囲またはサブネット: VPN ゲートウェイを作成するには、ゲートウェイ サブネットが必要です。

      現時点では、このフィールドには、仮想ネットワークのアドレス空間と、仮想ネットワークの GatewaySubnet という名前のサブネットが既に作成されているかどうかに応じて、さまざまな設定オプションを表示できます。

      ゲートウェイ サブネットがない場合、"かつ" このページに作成するオプションが表示されない場合は、仮想ネットワークに戻ってゲートウェイ サブネットを作成します。 次に、このページに戻って、VPN ゲートウェイを構成します。

  1. パブリック IP アドレス の各値を指定します。 これらの設定では、VPN ゲートウェイに関連付けられるパブリック IP アドレス オブジェクトを指定します。 パブリック IP アドレス オブジェクトを作成すると、そのオブジェクトに IP アドレスが割り当てられます。 その後、パブリック IP アドレス オブジェクトがゲートウェイに関連付けられます。 ゾーン冗長でないゲートウェイの場合、パブリック IP アドレスが変わるのは、ゲートウェイが削除され、再度作成されるときのみです。 VPN ゲートウェイのサイズ変更、リセット、その他の内部メンテナンス/アップグレードでは、IP アドレスは変わりません。 Standard SKU を使用するパブリック IP アドレス オブジェクトを関連付ける必要があります。 Basic SKU パブリック IP アドレス オブジェクトは、Basic SKU VPN ゲートウェイでのみサポートされます。

    [パブリック IP アドレス] フィールドのスクリーンショット。

    • パブリック IP アドレス : [新規作成] を選択しておいてください。
    • パブリック IP アドレス名:このテキスト ボックスに、パブリック IP アドレス インスタンスの名前を入力します。
    • 割り当て: 静的が自動的に選択されます。
    • [アクティブ/アクティブ モードの有効化] : [有効] を選択します。
    • [Second Public IP Address](セカンド パブリック IP アドレス) : [新規作成] を選択します。
    • [パブリック IP アドレス名] : セカンド パブリック IP アドレスの名前です。
    • [Configure BGP](BGP の構成) の設定は、実際の構成で特に必要でない限り、 [無効] のままにしておいてください。 この設定が必要である場合、既定の ASN は 65515 です。ただし、他の ASN を使用できます。

  2. [確認と作成] を選択して検証を実行します。

  3. 検証に合格したら、 [作成] を選択して VPN ゲートウェイをデプロイします。

デプロイの状態は、ゲートウェイの [概要] ページで確認できます。 ゲートウェイの作成後は、ポータルの仮想ネットワークを調べることで、ゲートウェイに割り当てられている IP アドレスを確認できます。 ゲートウェイは、接続されたデバイスとして表示されます。

重要

ゲートウェイ サブネットを使う場合は、ゲートウェイ サブネットにネットワーク セキュリティ グループ (NSG) を関連付けないようにしてください。 ネットワーク セキュリティ グループをこのサブネットに関連付けると、仮想ネットワーク ゲートウェイ (VPN と ExpressRoute ゲートウェイ) が想定どおりに機能しなくなる可能性があります。 ネットワーク セキュリティ グループの詳細については、ネットワーク セキュリティ グループの概要に関するページを参照してください。

既存の VPN ゲートウェイを更新する

このセクションでは、既存の Azure VPN ゲートウェイをアクティブ/スタンバイからアクティブ/アクティブ モードに、またアクティブ/アクティブからアクティブ/スタンバイ モードに変更します。 アクティブ/スタンバイ ゲートウェイをアクティブ/アクティブに変更する場合は、別のパブリック IP アドレスを作成して、第 2 のゲートウェイ IP 構成を追加します。

アクティブ/スタンバイからアクティブ/アクティブに変更する

アクティブ/スタンバイ モードのゲートウェイをアクティブ/アクティブ モードに変換するには、次の手順に従います。 Resource Manager デプロイ モデルを使用してゲートウェイを作成した場合は、このページで SKU をアップグレードすることもできます。

  1. 仮想ネットワーク ゲートウェイのページに移動します。

  2. 左側のメニューで [構成] を選択します。

  3. [構成] ページで、次の設定を構成します。

    • [アクティブ/アクティブ モード] を [有効] に変更します。
    • [新規追加] をクリックし、別のパブリック IP アドレスを追加します。 このリソース専用の IP アドレスが既に作成されている場合、代わりにそれを SECOND PUBLIC IP ADDRESS ドロップダウンから選択できます。

    アクティブ/アクティブ モードが有効になっている [構成] ページを示すスクリーンショット。

  4. [パブリック IP アドレスの選択] ページで、条件を満たす既存のパブリック IP アドレスを指定するか、 [+新規作成] を選択して、2 番目の VPN ゲートウェイ インスタンスに使用する新しいパブリック IP アドレスを作成します。 2 番目のパブリック IP アドレスを指定したら、[OK] をクリックします。

  5. [構成] ページの上部にある [保存] をクリックします。 この更新が完了するまでに 30 - 45 分程度かかる場合があります。

重要

BGP セッションが実行されている場合は、Azure VPN Gateway BGP 構成が変更され、2 つの新しく割り当てられた BGP IP がゲートウェイ サブネットのアドレス範囲内にプロビジョニングされることに注意してください。 古い Azure VPN Gateway BGP IP アドレスは存在しなくなります。 これにより、ダウンタイムが発生し、オンプレミスのデバイスでの BGP ピアの更新が必要になります。 ゲートウェイのプロビジョニングが完了すると、新しい BGP IP を取得でき、それに応じてオンプレミスのデバイス構成を更新する必要があります。 これは、APIPA 以外の BGP IP に適用されます。 Azure で BGP を構成する方法を理解するには、「Azure VPN Gateway で BGP を構成する方法」を参照してください。

アクティブ/アクティブからアクティブ/スタンバイに変更する

アクティブ/アクティブ モードのゲートウェイをアクティブ/スタンバイ モードに変換するには、次の手順に従います。

  1. 仮想ネットワーク ゲートウェイのページに移動します。

  2. 左側のメニューで [構成] を選択します。

  3. [構成] ページで、[アクティブ/アクティブ モード] を [無効] に変更します。

  4. [構成] ページの上部にある [保存] をクリックします。

重要

BGP セッションが実行されている場合は、Azure VPN Gateway BGP 構成が 2 つの BGP IP アドレスから 1 つの BGP アドレスに変更されることに注意してください。 このプラットフォームでは一般に、ゲートウェイ サブネットの最後の使用可能な IP が割り当てられます。 これにより、ダウンタイムが発生し、オンプレミスのデバイスでの BGP ピアの更新が必要になります。 これは、APIPA 以外の BGP IP に適用されます。 Azure で BGP を構成する方法を理解するには、「Azure VPN Gateway で BGP を構成する方法」を参照してください。

次のステップ

接続を構成する場合は、次の記事を参照してください。